建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞

9 }7 ~0 z1 B6 n+ m缺陷编号： WooYun-2012-15569
% u$ @1 O7 f: G4 w' d
8 ~" M' Q; n& T7 p" q5 [# k+ t+ |漏洞标题： 中国建设银行刷人民币漏洞
3 V/ D$ a" B1 O( _+ V
0 e. z5 j4 v# L$ c/ ~& W相关厂商： 建设银行
& [+ Y  Z* M1 I. X
漏洞作者： only_guest

# s, [# b" E3 N& h  m5 d提交时间： 2012-12-03

9 g& k5 b1 a9 p1 V/ s" \漏洞类型： 设计缺陷/逻辑错误
' V3 c1 l# L6 `9 I
危害等级： 高

: ]3 f! y+ l: [3 K漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org

Tags标签： 无
8 ~; N0 Z/ m8 E* Q- e( A


5 q0 {. u! W+ s& n3 ^20人收藏收藏
分享漏洞：
35

--------------------------------------------------------------------------------
& B* M% F% {! [" K  y' d; @( i
漏洞详情

0 W4 a5 P' ~# ~; J披露状态：
+ z! ?' o1 {3 m* _
( X! }4 G6 X5 ^2 C& Y; p% [
& K8 ~7 p. n1 O, U7 I
! N% P% [3 s( S0 V( T0 Z' G2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开


2 ~! b  e$ ^0 I, ~6 S( h简要描述：
. ?  T7 z" x5 G3 d
偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.
6 F' y- u* @5 o6 \! g6 c
漏洞hash：47b3d87350e20095c8f314b7b6405711

版权声明：转载请注明来源 only_guest@乌云
% F) S9 K! f6 h, e* J
--------------------------------------------------------------------------------
3 v* K( [+ o' X" `" I
漏洞回应
. i9 G8 ]3 i) R8 E0 L6 A8 ]5 F
厂商回应：
" n' a2 }+ e, l' @/ _2 \
危害等级：高

9 u5 s2 m5 F7 ^5 S% H( _漏洞Rank：12

确认时间：2012-12-04
$ A9 b# o+ i5 p6 _/ Q& u
& {/ R% k7 s( T厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
# c& I; O; @( ~% F
/ n' f. W1 \9 \) X同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
0 X/ g  R( u. F! m  t" e& F4 N
) o% C" u) T6 j$ U按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
; Q# F3 j" }% t; J6 k/ Z2 K